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(57) Method by which a mobile subscriber with a WAP-compatible terminal (1 ) can 
access to a WAP server or WEB server (5), 

whereby said terminal (1) sends an enquiry for said server to a WAP gateway (3), 

whereby the security in the air interface (2) between said WAP-compatible terminal (1) 
and said gateway (2) is based on WTLS (Wireless Transport Layer Security), 

whereby said server (5) is secured with the SSL and/or TLS security protocol, 

whereby the conversion between WTLS and SSL and/or TLS takes place in a secured 
area administered by the administrator of said server (5), 

and whereby the packets which are sent from said terminal (1) are forwarded from 
said gateway (3) to said secured area, without all the packets which are sent durino a 
session being decoded. y 
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(54) Verfahren, System und Gateway, die einen End-zu-End gesicherten Zugriff auf WAP-Dienste 
erlauben 



(57) Verfahren, mit welchem ein Mobilteilnehmer 
mit einem WAP-tauglichen Endgerat (1) auf einen WAP 
oder WEB-Server (5) zugreifen kann, 
wobei das benannte Endgerat (1) eine Anfrage fur den 
benannten Server an ein WAP-Gateway (3) sendet, 

wobei die Sicherheit in der Luftschnittstelle (2) zwi- 
schen dem benannten WAP-tauglichen Endgerat 
(1) und dem benannten Gateway (2) auf WTLS 
(Wireless Transport Layer Security) basiert, 
wobei der benannte Server (5) mit dem SSL und/ 



oder TLS Sicherheitsprotokoll gesichert ist. 
wobei die Konversion zwischen WTLS und SSL 
und/oder TLS in einem vom Verwalter des benann- 
ten Servers (5) verwalteten gesicherten Gebiet er- 
folgt, 

und wobei die Pakete, die vom benannten Endgerat 
(1) gesendet werden, vom benannten Gateway (3) 
zum benannten gesicherten Gebiet weitergeleitet 
werden, ohne dass alle Pakete die wahrend einer 
Session ubertragen werden entschlusselt werden. 
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kann. Die TCP-IP konvertierten Pakete werden an den WAP- oder WEB-Server 50 weitergeieitet, der eventuell eine 
andere Protokollkonvertierung durchfuhrt, damit die empfangene Abfrage vom Datenbanksystem 51 bearbeitet werden 
kann. 

[0031] Als Alternative konnen die Datagramme mit einem Session-Schlussel ver- und entschlusselt werden, dssen 
s Schlussel mit Hilfe eines zertifizierten, offentlichen Schlussel wahrend der Schlusselvereinbarungsphase generiert 
werden. 

[0032] Die Antwort vom WEB bzw. WAP-Server 50, zum Beispiel die gewunschte WEB- Oder WAP-Seite, wird vom 
Server 50 in die andere Richtung gesendet, im Proxy 52 ubersetzt und mit WTLS-Diensten gesichert und durch die 
Tunnelschicht" 310 im Gateway 31 an das Endgerat 1 des Benutzers geleitet, wobei die gesamte Verbindung zwischen 

io Server 5 und Endbenutzer 1 mit WTLS gesichert wird. 

[0033] Datagramme, die aufgrund des enthaltenen URL und/oder Portnummer keine End-zu-End gesicherte Daten- 
Obertragung verlangen, werden im Gateway 31 gemass der konventionellen vom WAP-Forum empfohlenen Losung 
durch alle Schichten des Protokolls im Gateway 2 entschlusselt, mit TLS/SSL wieder gesichert und an die in den 
Paketen angegebene URL-Adresse weitergeieitet. Beispielsweise werden Sessionen mit der Portnummer 80 wie ge- 

is wohnliche HTTP-Sessionen behandelt und weitergeieitet. 

[0034] Antworten vom Server 5 (beispielsweise die gewunschten WEB oder WAP-Seiten) die keine WTLS-Sicherung 
zwischen Server und Gateway 3 verlangen, werden von der Proxy-Anwendung 524 durch eine Tunnelschicht 520 im 
Proxy durchgefuhrt (Pfeil 315) und erst im Gateway 3 mit WTLS-Diensten gesichert. 

[0035] Diese Variante verlangt keine Anderungen vom Browser im Endgerat 11 und nur ein relativ einfaches Proxy 
20 53 beim Dienstanbieter 5, das WTLS-Sessionen entgegennehmen kann. Die Software-Implementation des Gateways 
3 kann sich jedoch als schwierig erweisen. 

[0036] Die zweite Variante, die auf der Figur 4 dargestellt wird, erlaubt es, dieses Problem durch eine leicht durch- 
fuhrbare Anpassung der Anwendung (zum Beispiel des Browsers) im Endgerat 1 zu vermeiden. In dieser variante wird 
die URL-Adresse und die Portnummer der verlangten WEB oder WAP-Seite vom Browser 10 in jedes Paket (WDP- 

25 Datagramm) der Session kopiert. Diese Pakete werden dann uber das Mobilfunknetz 2 an das Gateway 3 gesendet, 
wo die Portnummer und die URL analysiert werden, um zu ermitteln wie die Pakete weiterbehandelt werden sollen. 
[0037] Diese Variante hat den Vorteil, dass die Analyse und die Weiterbehandlung der Pakete in den unteren Schich- 
ten des Protokolls, unter anderem in der WDP und/oder WTLS-Schicht, durchgefuhrt werden kann und dass sie somtt 
nur minimale Anpassungen des Gateways 3 verlangt. 

30 [0038] Eine Tabelle 321 im Gateway 3 oder in einem nicht dargestellten Router vor dem Gateway gibt an, wie die 
Pakete je nach Portnummer und URL behandelt werden sollen und insbesondere welche Pakete transparent durch 
die Tunnelschicht 320 gehen sollen. Diese Tabelle kann vorzugsweise vom Administrator des Gateways 3 konfiguriert 
und geandert werden, ohne dass das Gateway neu gestartet werden muss, damit die Konfiguration wahrend des 
Betriebes aktualisiert werden kann. Daten in der Tabelle konnen vorzugsweise nur vom Administrator geandert werden, 

35 oder von Person en mit Admin istratorenrechten. 

[0039] Die Tabelle im Gateway 3 konnte beispielsweise folgende Zeilen enthalten: 







Eingegebene URL Adresse 


Neue Adresse (vom Gateway erteilt) 


Bemerkung 


40 




Adresse 


Portnummer 


Adresse 


Portnummer 




45 


1 


138.10.20.30 


8040 


140.50.60.70 


12345 


Pakete mit dieser Adresse werden 
auf transparente Weise an die 
neue Adresse geleitet. Die 
Portnummer wird ersetzt 
(Mapping). 




2 


* * * * 


50443 


* * * * 


50443 


Stern-Joker erlauben eine 
Bedingung fur alle Server mit der 
gleichen Portnummer zu setzen 


50 


3 


138.10.20.40 




138.10.20.40 


# 


Wie oben, jedoch ohne DNS- 
Lookup 




4 


www.sp1.com 


* 


www.spl .com 


* 


Alle URL vom sp1 mussen durch 
die Tunnelschicht 


55 


5 


www.sp1.com 


80 


www.sp1.com 


80 


Alle Verbindungen mit 
Portnummer 80 durch die 
Tunnelschicht 
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(fortgesetzt) 





Eingegebene URL Adresse 


Neue Adresse (vom Gateway erteilt) 


Bemerkung 


Adresse 


Portnummer 


Adresse 


Portnummer 


6 


www.spl .ch 


DU44o 


www.spl .ch 


50443 


sp1 verlangt, dass alie Sessionen 
mit der Portnummer 50443 durch 
die Tunnelschicht geleitet werden. 


7 


www.sp2.ch 


443 


www.sp2.ch 


443 


sp2 verlangt, dass alle Sessionen 
mit der Portnummer 443 durch die 
Tunnelschicht geleitet werden. 
Damit wird kein SSL mit dem Port 
443 verwendet. SSL kann dann 
beispielsweise vom Proxy 
verwendet werden. 


8 













[0040] Der Administrator des Gateways 3 wird vorzugsweise den Dienstanbietern einen Bereich von URL-Adressen 
20 und/oder Portnummern zur Verfugung stellen. Dienstanbieter SP1, SP2. usw. konnen dann eine oder mehrere URL, 
Oder Portnummern, oder Kombinationen aus beiden, fur sich reservieren und den Administrator 3 anweisen, Pakete 
mit dieser URL und/oder Portnummer transparent weiterzuleiten. 

[0041] Die Figur5zeigtals Beispiel, wie die Pakete, die von verschiedenen Endbenutzern 1-, bis 1 4 gesendet werden, 
vom Gateway 3 in Abhangigkeit ihrer URL-Adresse und/oder Portnummer behandelt werden. 
25 [0042] Das dargestellte System umfasst in diesem Beispiel drei Server 5-, , 5 2 und 5 3 von drei verschiedenen Dienst- 
anbietern sp1 , sp2 und sp3. Die vier folgenden Seiten werden im ersten Server 5, (bzw. 5 2 ) abgelegt: 

■ eine ungesicherte WEB-Seite mit der Adresse www. sp1.com: 80 (bzw. www. sp2.com: 80) 

30 ■ eine WE B-Seite mit der Adresse www.spl .com:443 (bzw. www. sp2. com: 443), die nur mit SSL gesichert wird (keine 
End-zu-End Sicherheit) 

■ eine WEB-Seite mit der Adresse www.spl .com:50443 (bzw. www.sp2.com:50443), die mit WTLS gesichert wird 
(End-zu-End Sicherheit) 

35 

■ eine WAP-Seite mit der Adresse wap.spt .com:50443 (bzw. wap.sp2.com: 50443), die mit WTLS gesichert wird 
(End-zu-End Sicherheit) 

[0043] Im Server 5 3 des dritten Dienstanbieters sp3 werden nur zwei Seiten abgelegt: 

40 

■ eine ungesicherte WEB-Seite mit der Adresse www. sp3.com: 80 

■ eine WEB-Seite mit der Adresse www. sp3.com: 443, die nur mit SSL gesichert wird (keine End-zu-End Sicherheit) 

45 [0044] Der erste Benutzer 1 n will auf die gesicherten Seiten www.spl ,com:443 und www.spl .com:50443 des Dienst- 
anbieters SP1 im Server 5, zugreiten, indem er GET(URL) Abfragen mit entsprechenden URL an das Gateway 3 
sendet. Das Gateway 3 erkennt anhand der Tabelle 321 und des im Datagramm enthaltenen URL und/oder der Port- 
nummer, welche Sicherheiten von diesen Seiten verlangt werden. Im ersten Fall (SSL Sicherheit) werden alle Data- 
gramme der Session im Gateway 3 entschlusselt und eine Ubersetzung von WTLS zu SSL wird durchgefuhrt. Im 

50 zweiten Fall (End-zu-End Sicherheit mit WTLS) werden alle Datagramme der Session transparent an den Server 5 1 
weitergeleitet, ohne dass sie entschlusselt werden. 

[0045] Der zweite Benutzer 1 2 will auf die Seite www.sp2.com :50433 des Dienstanbieters sp2 im Server 5 2 zugreiten, 
die eine End-zu-End Sicherheit verlangt. Datagramme mit dieser Adresse werden im Gateway 3 erkannt und transpa- 
rent durch die Tunnelschicht an den Server 5 2 geleitet. 
55 [0046] Der dritte Benutzer 1 3 will auf die Seite www.sp3.com:443 des Dienstanbieters sp2 im Server 5 2 zugreiten, 
die eine mit TLS/SSL gewahrleistete Sicherheit verlangt. WTLS-gesicherte Datagramme mit dieser Adresse werden 
im Gateway 3 erkannt, durch alle Schichten des Protokoll-Stapels ubersetzt, mit TLS/SSL gesichert und an den Server 
5 3 weitergeleitet. 
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[0047] Der vierte Benut2er 1 4 will auf die ungesicherte Seite www. sp3.com: 80 des Dienstanbieters sp2 im Server 

5 2 zugreifen. WTLS-gesicherte Pakete mit dieser Adresse werden im Gateway 3 erkannt durch alle Schichten des 

Protokoll-Stapels ubersetzt und an den Server 5 3 weitergeleitet, ohne sie durch das Netz 4 zu sichern. 

[0048] Diese Variante verlangt nur minimale Anderungen vom Gateway 3. Allerdings mussen die Browser-Anwen- 

dungen in den Endgeraten 1 leicht angepasst werden, was sich bei vielen Anbietern als schwierig erweisen kann. 

[0049] Wir werden jetzt eine dritte Erfindungsvariante beschreiben, die diesen Nachteil vermeidet. 

[0050] In dieser variante werden Sessionen die eine End-zu-End Sicherheit verlangen anhand der URL-Adresse 

und/oder der Portnummer wie in der ersten Oder zweiten Variante erkannt. Statt die Sessionen durch die Tunnelschicht 

transparent weiterzuleiten, sendet das Gateway in diesem Fall einen standardisierten Redirect-Befehl mit der in der 

Tabelle 321 angegebenen Adresse und Portnummer des Dienstanbieters und mit anderen Parameter fur die Identifi- 

zierung vom Gateway 5, wie Dial-In Nummer, an das Endgerat 1. 

[0051] Die Weiterleitungsadresse (Adresse, Portnummer, Dial-In Nummer, usw.) im Redirect-Befehl wird vorzugs- 
weise aus einem vom WAP Oder WEB-Server 5 zuganglich gemachten Dokument extrahiert Der Redirect-Befehl kann 
auch dieses Oder ein anderes Dokument Oder die Adresse eines solchen Dokuments enthalten, in welchem die Wei- 
terleitungsadresse enthalten ist. Im Dokument konnen vorzugsweise verschiedene Adressengebiete mit Stringmuster, 
beispielsweise mit *, angegeben werden. 

[0052] Die Anwendung im Mobilgerat 1, die diesen Redirect Befehi entgegennimmt. reagiert, indem sie jetzt die 
schon vorher an das Gateway 3 gesendeten Pakete wieder direkt an die im Redirect-Befehl angegebene Adresse des 
Dienstanbieters sendet. 

[0053] Alle Pakete in der Session werden dann direkt zwischen dem Endgerat 1 und dem Server 5 Obertragen, bis 
der Endbenutzer einen anderen URL sendet, der vom Server 5 nicht bearbeitet werden kann (beispielsweise wenn 
sich die entsprechende gewunschte Seite nicht auf diesem Server befindet). In diesem Fall wird die Session vom 
Server 5 unterbrochen und die nachfolgenden Pakete werden wieder an das Gateway 3 gesendet. 
[0054] Falls keine End-zu-End Sicherheit benottgt wird. wird kein Redirect Befehi vom Gateway 3 gesendet. In die- 
sem Fall werden alle Pakete wan rend der gesicherten Session durch das Gateway 3 gesendet. 



Patentansprtiche 

30 1. Verfahren, mit welchem ein Mobilteilnehmer mit einem WAP -taug lichen Endgerat (1 ) auf einen WAP oder WEB- 
Server (5) zugreifen kann, 

wobei das benannte Endgerat (1) eine Anfrage fur den benannten Server an ein WAP-Gateway (3) sendet, 

wobei die Sicherheit in der Luftschnittstelle (2) zwischen dem benannten WAP-tauglichen Endgerat (1) und 
35 dem benannten Gateway (3) auf WTLS (Wireless Transport Layer Security) basiert, 

wobei der benannte Server (5) mit dem SSL und/oder TLS Sicherheitsprotokoll gesichert ist, 

dadurch gekennzeichnet, dass die Konversion zwischen WTLS und SSL und/oder TLS in einem vom Ver- 
walterdes benannten Servers (5) verwalteten gesicherten Gebiet erfolgt, 
40 und dass die Pakete, die vom benannten Endgerat (1) gesendet werden, vom benannten Gateway (3) zum 

benannten gesicherten Gebiet weitergeleitet werden, ohne alle Pakete die wahrend einer Session Obertragen 
werden zu entschlusseln. 

2. Verlahren gemass Anspruch 1 , dadurch gekennzeichnet, dass das benannte Gateway (3) die benannten Pakete 
45 zu einem Proxy (52) im benannten gesicherten Gebiet weiterleitet, wobei das benannte Proxy (52) mindestens 

eine Protokollschicht des WAP-Protokolls verwendet. 

3. Verfahren gemass einem der Anspruche 1 oder 2, in welchem die benannten Pakete in Abhangigkeit vom URI 
und/oder vom Domainname der angefragte Seite im benannten Gateway (3) weitergeleitet werden. 

so 

4. Verlahren gemass einem der vorhergehenden Anspruche, in welchem die benannten Pakete abhangig von der 
Portnummer im benannten Gateway (3) weitergeleitet werden. 

5. Verfahren gemass dem vorhergehenden Anspruch, in welchem die benannten Pakete abhangig von verschiede- 
55 nen Portnummern an verschiedene gesicherte Gebiete weitergeleitet werden. 

6. Verlahren gemass einem der Anspruche 4 oder 5, in welchem die benannte Portnummer aus der URI und/oder 
URL der angefragten Seite in einer Anwendungsschicht des benannten Gateways (3) extrahiert werden. 
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7. Vertahren gemass Anspruch 6, in welchem die benannte Portnummer wahrend einer Session nur aus einer be- 
grenzten Anzahl von Paketen extrahiert wird, 

und in welchem das Weiterleiten von mindestens einem folgenden Paket von dieser benannten extrahierten 
Portnummer abhangig ist. 

8. Verfahren gemass Anspruch 7, in welchem ein Proxyserver (52) im benannten gesicherten Gebiet die URI und/ 
Oder die Portnummer der empfangenen Pakete extrahiert, und in welchem der benannte Proxyserver (52) dem 
benannten Gateway (3) einen Befehl zurucksendet, wenn er ein Paket mit einer anderen URI und/oder mit einer 
anderen Portnummer empfangt. 

9. Verfahren gemass einem der Anspruche 4 oder 5, in welchem die benannte Portnummer aus dem benannten URI 
und/oder URL der angefragten Webseite im benannten Endgerat (1) extrahiert wird. 

10. Verlahren gemass Anspruch 9, in welchem die benannte Portnummer von einem Browser aus dem URI und/oder 
is URL der angefragten Webseite extrahiert wird. 

1 1 . Verlahren gemass einem der Anspruche 8 oder 9, in welchem der Browser im benannten Endgerat ( 1 ) die benannte 
Portnummer in den benannten Paketen erst dann kopiert, wenn eine End-zu-End gesicherte Verbindung beantragt 

ist. 

20 

12. Verfahren gemass einem der Anspruche 3 bis 11, in welchem die benannten Pakete im benannten Gateway (3) 
an ein gesichertes Gebiet weitergeleitet werden wenn sich die benannte Portnummer in einem vorbestimmten 
Bereich befindet. 

25 .13. Verlahren gemass Anspruch 1 , dadurch gekennzeichnet, dass wenn eine End-zu-End gesicherte Verbindung be- 
antragt ist, das benannte Gateway (3) einen Redirect-Befehl zum benannten Endgerat (1) sendet. 

14. Vertahren gemass dem vorhergehenden Anspruch, in welchem der benannte Redirect Befehl zeitlich begrenzt ist. 

30: .15. Verfahren gemass Anspruch 13, in welchem ein Proxy Server (52) im benannten gesicherten Gebiet die URI und/ 
oder die Portnummer der empfangenen Pakete extrahiert, und einen Redirect Befehl zuruck zum benannten End- 
gerat (1 ) sendet, sobald die Session zum benannten Gateway (3) weitergeleitet werden soil. 

16. Vertahren gemass Anspruch 13, in welchem den benannten Redirect-Befehl eine Weiterleitungsadresse enthalt, 
35 die aus einem vom benannten WAP oder WEB-Server (5) zuganglich gemachten Dokument extrahiert wird. 

17. Verfahren gemass dem Anspruch 13. in welchem den benannten Redirect-Befehl ein Dokument enthalt, in wel- 
chem die Weiterleitungsadresse enthalten ist. 

40 18. Vertahren, mit welchem ein Mobilteilnehmer mit einem WAP-tauglichen Endgerat (1) auf einen WAP oder WEB- 
Server (5) zugreifen kann, 

wobei das benannte Endgerat (1) eine Anfrage fur den benannten Server (5) an ein WAP-Gateway (3) sendet, 
dadurch gekennzeichnet, dass ein Browser im benannten Endgerat (1) die Portnummer der beantragten WEB 
oder WAP-Seite extrahiert und in zum benannten Gateway (3) gesendete Paketen kopiert, 
45 und dass die benannten Pakete im benannten Gateway (3) in Abhangigkeit von dieser Portnummer weitergeleitet 

werden. 

19. Gateway (3), das mit WTLS-gesicherte Dalagramme von WAP-tauglichen Endgeraten entgegennehmen und in 
SSL-gesicherte-Abfragen ubersetzen kann, 

50 dadurch gekennzeichnet, dass es Datagramme erkennen kann, die in transparenter Weise weitergeleitet 

werden sollen und dass es diese Datagramme ohne sie zu entschlusseln weiterleiten kann. 

20. Gateway gemass dem vorhergehenden Anspruch, in welchem die benannten Pakete in Abhangigkeit vom URI 
und/oder vom Domainname der angefragten Seite weitergeleitet werden. 



55 



21. Gateway gemass einem der Anspruche 19 oder 20, in welchem die benannten Pakete in Abhangigkeit von der 
Portnummer im benannten Gateway (3) weitergeleitet werden. 
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22. Gateway gemass dem vorhergehenden Anspruch, in welchem die benannten Pakete abhangig von verschiedenen 
Portnummern an verschiedene gesicherte Gebiete weitergeleitet werden. 

23. Gateway gemass einem der Anspruche 21 Oder 22, in welchem die benannte Portnummer aus dem URI und/oder 
s URL der angefragten Seite in einer Anwendungsschicht des benannten Gateways (3) extrahiert werden. 

24. Gateway gemass Anspruch 21 , in welchem die benannte Portnummer wahrend einer Session nur aus einer be- 
grenzten Anzahl von Paketen extrahiert werden, 

und in welchem das Weiterleiten von mindestens einem folgenden Paket von dieser benannten extrahierten 
10 Portnummer abhangig ist. 

75 
20 
2S 
30 
35 
40 
45 
SO 
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Verfahren, System und Gateway, die einen End-zu-End gesicherten Zugriff au1 WAP-Dienste 




erlauben 





(57) Verfahren, mit welchem ein Mobilteilnehmer 
mit einem WAP-tauglichen Endgerat (1) auf einen WAP 
Oder WEB-Server (5) zugreifen kann, 
wobei das benannte Endgerat (1) eine Anfrage fur den 
benannten Server an ein WAP-Gateway (3) sendet, 

wobei die Sicherheit in der Luftschnittstelle (2) zwi- 
schen dem benannten WAP-tauglichen Endgerat 
(1) und dem benannten Gateway (2) auf WTLS 
(Wireless Transport Layer Security) basiert, 
wobei der benannte Server (5) mit dem SSL und/ 



oder TLS Sicherheitsprotokoll gesichert ist. 
wobei die Konversion zwischen WTLS und SSL 
und/oderTLS in einem vom Verwalter des benann- 
ten Servers (5) verwalteten gesicherten Gebiet er- 
folgt, 

und wobei die Pakete, die vom benannten Endgerat 
(1 ) gesendet werden, vom benannten Gateway (3) 
zum benannten gesicherten Gebiet weitergeleitet 
werden, ohne dass alle Pakete die wahrend einer 
Session ubertragen werden entschlusselt werden. 
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